Sin diagn\u00f3sticos ni evaluaciones de riesgos claros, la protecci\u00f3n empresarial se vuelve reactiva. Expertos explican c\u00f3mo entender el panorama para definir mejoras de manera pragm\u00e1tica.<\/p>\n\n\n\n
Decidir en qu\u00e9 invertir para fortalecer la ciberseguridad empresarial es uno de los mayores retos para el 40% de los l\u00edderes en Am\u00e9rica Latina. Seg\u00fan la encuesta m\u00e1s reciente<\/a> de Kaspersky a responsables de seguridad digital en la regi\u00f3n, m\u00e1s de la mitad de las organizaciones (56%) tampoco cuenta con un calendario regular de evaluaciones de riesgo, por lo que terminan actuando de manera reactiva y revisan sus medidas de protecci\u00f3n solo cuando ocurre un incidente o aparece una alerta externa.<\/p>\n\n\n\n El estudio tambi\u00e9n revela que, aunque la mayor\u00eda de las empresas en la regi\u00f3n realiza simulaciones de incidentes, 43% cada mes y 38% de forma trimestral, una de cada cinco no tiene ninguna rutina de pruebas. La falta de estas pr\u00e1cticas abre una brecha cr\u00edtica que compromete su preparaci\u00f3n real frente a un ataque. Sin un plan estructurado, los equipos de seguridad dejan de identificar vulnerabilidades ocultas y no desarrollan la resiliencia que exige el panorama de ciberamenazas actual.<\/p>\n\n\n\n Otro dato relevante es que el 29% de los encuestados afirma no contar con una estrategia clara de seguridad. Esto refuerza que, para muchas organizaciones, el reto no solo est\u00e1 en saber qu\u00e9 se necesita hacer, sino en la falta de una directriz estructurada que gu\u00ede las decisiones, priorice los recursos y defina el nivel m\u00ednimo de protecci\u00f3n necesario.<\/p>\n\n\n\n Esta falta de disciplina para identificar y revisar debilidades y riesgos deriva en otro problema identificado por los expertos: existe una disparidad entre la confianza que las empresas tienen en su protecci\u00f3n digital y el nivel de seguridad que poseen en realidad. Cuando una empresa cree estar m\u00e1s protegida de lo que est\u00e1, se vuelve m\u00e1s dif\u00edcil identificar prioridades, justificar inversiones y corregir los puntos cr\u00edticos.<\/p>\n\n\n\n \u201cMuchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepci\u00f3n concreta de cu\u00e1les son sus vulnerabilidades reales. Esto provoca esfuerzos dispersos y decisiones que no siempre responden a las necesidades m\u00e1s urgentes. Cuando la organizaci\u00f3n logra identificar con precisi\u00f3n su nivel de exposici\u00f3n, es posible organizar las prioridades y construir un camino evolutivo mucho m\u00e1s coherente\u201d, afirma Daniela \u00c1lvarez de Lugo, Gerente General para la Regi\u00f3n Norte de Am\u00e9rica Latina en Kaspersky.<\/p>\n\n\n\n Para cambiar este escenario, el ejecutivo de Kaspersky recomienda que los responsables de seguridad adopten un enfoque pragm\u00e1tico, basado en un diagn\u00f3stico estructurado del estado de la ciberseguridad actual y\/o un an\u00e1lisis de riesgos basado en el impacto que un incidente podr\u00eda generar en su organizaci\u00f3n, como el An\u00e1lisis Factorial del Riesgo de la Informaci\u00f3n (FAIR, por sus siglas en ingl\u00e9s).<\/p>\n\n\n\n A partir de ese diagn\u00f3stico, ya sea un an\u00e1lisis de debilidades o una matriz de riesgos, el equipo de seguridad contar\u00e1 con un documento objetivo que identifica las \u00e1reas cr\u00edticas que requieren mejoras y deben recibir las primeras inversiones. Adem\u00e1s, este insumo expone las razones para justificar cada inversi\u00f3n y define beneficios concretos y medibles.<\/p>\n\n\n\n La ejecutiva destaca que recientemente muchas empresas han sido noticia tras sufrir un ciberataque, aumentando la preocupaci\u00f3n de los directivos por los riesgos digitales. Aunque el presupuesto puede ser un limitante, se\u00f1ala que una estrategia de ciberseguridad pragm\u00e1tica puede establecer un nivel de protecci\u00f3n adecuado para cada organizaci\u00f3n, as\u00ed como la inversi\u00f3n y el tiempo que se requieren para alcanzarlo.<\/p>\n\n\n\n \u201cDesde negocios peque\u00f1os que buscan establecer controles b\u00e1sicos hasta grandes corporaciones que requieren una arquitectura m\u00e1s sofisticada, todas pueden plantear mejoras de forma objetiva. La diferencia est\u00e1 en la magnitud del trabajo, no en la necesidad de contar con una direcci\u00f3n clara\u201d, agrega.<\/p>\n\n\n\n Para garantizar un ciclo de mejora continua y una medici\u00f3n constante del avance, Kaspersky recomienda las siguientes medidas para asegurar la eficacia de las inversiones en ciberseguridad:<\/p>\n\n\n\n -Establecer un calendario de evaluaciones de riesgo recurrentes, con una periodicidad m\u00ednima trimestral o semestral.<\/p>\n\n\n\n -Realizar simulaciones de ataques mensuales o trimestrales, incluso en formato simplificado, para medir avances o identificar la necesidad de ajustar las acciones de mitigaci\u00f3n y respuesta ante incidentes.<\/p>\n\n\n\n -Definir indicadores de riesgo claros, vinculados a los planes de continuidad e impacto operativo en el negocio.<\/p>\n\n\n\n -Revisar pol\u00edticas y controles con base en datos de nuevos ataques o riesgos, disponibles mediante servicios de Inteligencia de Amenazas<\/a>, y no solo por criterios de cumplimiento normativo. El uso de este tipo de informaci\u00f3n aumenta las posibilidades de neutralizar ataques en curso, y los casos de \u00e9xito ayudan a justificar inversiones.<\/p>\n\n\n\n -Alinear las inversiones a los resultados esperados, priorizando correcciones que reduzcan exposici\u00f3n y fortalezcan la gobernanza empresarial.<\/p>\n\n\n\n